Вход |  Регистрация
 
 
Время электроники Пятница, 15 декабря
 
 

Это интересно!

Ранее

Россияне прилипли к экрану, пишет "Коммерсантъ"

Аудитория Интернета в России продолжает увеличиваться, следует из данных Mediascope, зафиксировавших прирост на 2% в октябре 2016 — марте 2017 года.

Почти две трети всех кибератак в мире происходит с IP-адресов США

63% всех кибератак в мире предпринимается с IP-адресов, соответствующих США, сообщила в своем новом отчете американская компания Dimension Data.

Создатель Alibaba предрек человечеству «30 лет конфликтов и боли из-за Интернета»

Глава крупнейшего китайского интернет-холдинга уверен, что сетевые технологии внесли в мировую экономику изменения, из-за которых человечество ожидает не менее 30 лет страданий – «социальных конфликтов и боли».

Реклама

По вопросам размещения рекламы обращайтесь в отдел рекламы

Реклама наших партнеров

 

16 июня 2017

Трояны научились обходить антивирусы и фаерволлы с помощью малоизвестных функций чипсетов Intel

Эксперты по безопасности корпорации Microsoft выявили вредоносное ПО, которое использует малоизвестные функции в чипсетах Intel для обхода антивирусов и фаерволлов. Вредонос использует одна из самых продвинутых хакерских группировок в мире, известная под кодовым названием Platinum.

И

сследователи корпорации Microsoft выявили семейство вредоносного ПО, которое использует в качестве средства передачи данных технологию Intel Serial-over-LAN (SOL). Этатехнологияявляетсячастьюинструментария Intel Active Management Technology. Трафик SOL направляется в обход сетевого стека локального компьютера, что делает его невидимым для антивирусного ПО и фаерволлов. Это связано с тем, что SOL является частью Intel Management Engine (ME), фактически отдельного процессора, встроенного в ЦП Intel и работающего под управлением собственной операционной системы.

Intel ME продолжает функционировать даже когда основной процессор отключен, и если компьютер в данный момент имеет соединение с сетями, то существует возможность передачи данных.

Эта функция довольно мало известна, но в целом она была разработана с целью помочь системным администраторам крупных компаний управлять обширным парком пользовательских рабочих станций.

Active Management Technology обеспечивает функции удаленного администрирования для процессоров с поддержкой технологий Intel vPro. Даже в отключенном состоянии интерфейс AMT SOL позволяет передавать данные по протоколу TCP, что открывает определенные возможности для злоупотреблений.

Функции AMT SOL деактивированы по умолчанию, задействовать их может только системный администратор. Это снижает степень риска. Но в крупных компаниях SOL довольно часто используется по назначению. Зная это, злоумышленники написали код, позволяющий красть данные через SOL.

В Microsoft утверждают, что их решение Windows Defender ATP способно различать легитимный трафик, идущий через AMT SOL, и попытки использовать этот канал для целевых атак.

Самая продвинутая группировка

Эксперты Microsoft утверждают, что за вредоносным ПО, использующим SOL для кражи данных, стоит известная группировка, которая уже несколько лет ведет активную шпионскую деятельность в Южной и Юго-Восточной Азии — Platinum.

Впервые деятельность этой группы была выявлена в 2009 г., и с тех пор успела прославиться множеством изощренных атак. В Microsoft считают, что за Platinum стоит некое государство (но не указывает, какое именно). Во всяком случае, уровень подготовки и материальной оснащенности Platinum заставляют предположить, что это чья-то киберразведка.

В прошлом году эксперты Microsoft обнаружили, что члены Platinum используют собственную технологию Microsoft Hotpatching для установки вредоносного ПО на персональные компьютеры. Возможность этого активно обсуждалась и раньше. Однако никто до сих пор не наблюдал попыток использовать Intel AMT SOL для вывода данных. Хотя в Microsoft не могут сказать определенно, придумали этот метод атаки сами члены Platinum или переняли его у кого-то еще.

«Это типичный пример того, как технология, призванная упрощать жизнь пользователям или системным администраторам, превращается в фактическую уязвимость, — говорит Ксения Шилак, директор по продажам компании SEC-Consult. — И это, на самом деле, скверная новость: если бы использовалась какая-то уязвимость, ее можно было бы исправить. А в данном случае имеет место использование архитектурной особенности».

Источник: cnews.ru

Комментарии

0 / 0
0 / 0

Прокомментировать







 

Горячие темы

 
 




Rambler's Top100
Руководителям  |  Разработчикам  |  Производителям  |  Снабженцам
© 2007 - 2017 Издательский дом Электроника
Использование любых бесплатных материалов разрешено, при условии наличия ссылки на сайт «Время электроники».
Создание сайтаFractalla Design | Сделано на CMS DJEM ®
Контакты